5.4 参数评估与实验
检测器的活化及激励机制中相关参数的选取影响着IAIDM模型的成熟检测器和记忆检测器的生成速度和数量,以及其识别域涵盖入侵行为特征空间的准确性,即影响着模型的学习速度以及学习结果的有效性,进而影响着模型的性能。各个相关参数之间对模型的影响存在相互制约和激励的关系。
调节参数α和激励参数β直接影响到检测器的活化概率,α起主要的调节作用,而β起辅助作用。参数α越小d被激活成功的概率就越小,意味着d需要在有限的时间内检测到更多的异常事件才可能活化,降低了系统的误报率,不过也会增加系统的漏报率;而α越大d被激活成功的概率越大,在同一活化概率下,较少的异常事件就可激活d,同时系统的误报率上升而漏报率下降,参数β具有微调的效果,其对系统的影响同α一样。
参数tab表示被呈现的异常事件记录在模式空间中驻留的时间,驻留时间越长,Ti时刻受到刺激的某一检测器捕获的异常事件就越多,被激活的概率也就越高。而随着时间的延长,这些异常事件之间的相关程度下降,会导致系统的误报率上升;如果驻留时间太短,检测器捕获不到足够数量的异常事件而活化困难,则导致系统的漏报率增加。
参数T-I和T-II表示检测器在模式空间中驻留的时间即生命周期,生命周期越长,检测器受到异常刺激的机会就越多,进而被激活的概率也就越大,不过较长的生命周期会引发模型中检测器规模的膨胀,带来检测器管理和检测效率上的问题。反之生命周期越短,被激活的概率也随之下降,另外使模型不得不频繁的产生新的检测器群,增加了系统资源的消耗。
参数γ影响着模型的记忆检测器的生成速度即收敛速度,如果其设定值较高则模型的收敛速度快,记忆检测器的有效性随之降低;如果其设定值较低则模型的收敛速度慢,虽增强了记忆检测器的有效性,但延缓了模型对已出现过入侵行为的快速响应能力。
IAIDM模型中检测器激励响应机制的相关参数描述以及缺省值设定如表5-4所示。
表5-4 模型参数及其缺省值
实验用于检验模型自学习的过程、学习结果以及检测效果。实验中模型参数的缺省设定如表5-4所示,并取小节5.2.2中算法GAND的某次输出矩阵集B(|B|=110)作为反向判定ND的规则集。以20分钟为间隔从实验数据集中抽取某段时间的连续异常事件记录,并分为10组实验数据集(E1,…,E10)即每组包含时间间隔为2分钟的异常记录,攻击类型涉及DOS、R2L、U2R和Probing。进行10次独立的实验,实验中将时隔2分钟的事件记录依据其时间戳依次输入模型。图5-12显示了SN(di)、MN(di)与MEM(di)的数量随着检测时间增长的变化趋势。
图5-12 各类检测器数量的变化趋势
图5-12中显示随着异常事件输入模型,在0~10秒检测时间内SN(di)的数量开始快速递增,SN(di)的数量在10秒(T-I=10)后进入较稳定的状态,这是由于新的SN(di)不断加入,以及旧的SN(di)由于未被激活则被消除或激活后发生了转化,70秒后绝大多数的异常事件被MEM(di)或MN(di)捕获则新的SN(di)很少产生。同样MN(di)在30秒(T-II=30)后进入较稳定的状态,100秒后因未被激活或发生转化而消亡。而MEM(di)随着检测时间的增长而递增,在120秒后进入稳定的状态,最后模型中只剩下MEM(di),实验结果显示模型具有自我调节和自我平衡的特性,有效的控制着检测器的规模。
为了验证IAIDM模型对未知入侵行为特征具有自学习和自适应的能力,将实验数据集E1,…,E10依次输入模型,这里引入检测率Dt来描述检测的有效性。
定义5.2:检测率Dt。系统检测出的入侵行为记录在总入侵行为记录数中所占的比例。
随检测时间的增长,IAIDM模型检测率Dt的变化曲线如图5-13所示。
图5-13 模型检测率Dt的平均变化曲线
图5-13显示了模型对E1的检测率Dt最低(44.5%),而随着实验数据集的输入,模型区分自我和非我能力逐步得到提高,即检测效果越来越好,模型对E10的检测率Dt达到93.2%,实验结果表明模型通过对未知入侵行为的不断学习和记忆,能够快速适应曾检测到的入侵模式,当再次检测到相同或相似的入侵模式时,能够以检测误用入侵的方式进行快速有效的入侵检测。